ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Salı günü yayınladığı uyarıda, saldırganların internet üzerinden erişilebilen şirket içi SharePoint Server örneklerini hedef alan üç güvenlik açığını aktif olarak istismar ettiğini duyurdu. CVE-2026-32201, CVE-2026-45659 ve CVE-2026-56164 olarak izlenen bu açıklar, SharePoint Server Subscription Edition (en yeni şirket içi sürüm, sürekli güncelleme modeli kullanıyor) dahil olmak üzere desteklenen tüm şirket içi SharePoint Server sürümlerini etkiliyor.
CISA'nın Salı günkü danışma belgesine göre, saldırganlar bu açıkları kullanarak kimlik doğrulamayı atlatıyor, uzaktan kod çalıştırma (RCE) elde ediyor ve sömürü sonrası faaliyetler yürütüyor. Bu faaliyetler arasında Internet Information Services (IIS) makine anahtarlarını çalmak, kalıcılık sağlamak ve tehlikeye atılmış sistemlere kötü amaçlı yazılım dağıtmak yer alıyor. CISA ayrıca, Microsoft'un Salı günü yamaladığı ve saldırganlar için cazip hedefler olarak işaretlediği iki SharePoint Server güvenlik açığını (CVE-2026-55040 ve CVE-2026-58644) daha duyurdu. Bu açıkların henüz vahşi ortamda istismar edildiği bilinmiyor.
İnternet güvenliği izleme grubu Shadowserver, halihazırda internete maruz kalmış yaklaşık 10.000 Microsoft SharePoint sunucusu tespit etti. Bunlardan 800'den fazlasının CVE-2026-32201 ve CVE-2026-45659 açıklarına karşı yamasız olduğu belirtiliyor. Ancak CVE-2026-56164 açığına karşı kaçının savunmasız olduğu veya bu sunuculardan kaçının tuzak (honeypot) olduğu konusunda detay bulunmuyor. Bu durum, kurumların güvenlik açıklarını kapatmak için hızlı hareket etmesi gerektiğini gösteriyor.
CISA, güvenlik ekiplerine etkilenen sunucuları istismar belirtilerine karşı yakından izlemeleri çağrısında bulundu. Ajans, Microsoft'un en son yamalarının uygulanmasını, başarılı kurulumun doğrulanmasını, yama döngülerinin kısaltılmasını, SharePoint web uygulamaları için Windows Antimalware Scan Interface (AMSI) entegrasyonunun etkinleştirilmesini ve Microsoft Defender Antivirus (MDAV) tespitlerinin kullanılmasını öneriyor. Ek olarak, IIS makine anahtarlarını döndürmeden önce sızma eserlerinin tespit edilip giderilmesi, anormal etkinlikleri izlemek için özel günlük kaydı oluşturulması, SharePoint sunucularının doğrudan internete maruz bırakılmaması ve Microsoft'un resmi SharePoint Server güvenlik sertleştirme kılavuzunun incelenmesi tavsiye ediliyor.
Ayrıca, SharePoint Merkezi Yönetimi'ne harici erişimin engellenmesi ve farm ile veritabanı iletişiminin yalnızca gerekli sistemlerle sınırlandırılması öneriliyor. Maruz kalmanın gerekli olduğu durumlarda, CISA sunucuların bir Katman 7 ters proxy veya benzeri bir uygulama katmanı güvenlik denetiminin arkasına yerleştirilmesini tavsiye ediyor. CISA, aktif olarak istismar edilen üç güvenlik açığını 14 Nisan (CVE-2026-32201), 1 Temmuz (CVE-2026-45659) ve 14 Temmuz (CVE-2026-56164) tarihlerinde Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu'na ekledi.
Federal kurumların, Bağlayıcı Operasyonel Direktif (BOD) 26-04 kapsamında CVE-2026-56164'ten etkilenen SharePoint sunucularını 17 Temmuz'a kadar güvence altına alması veya hafifletme uygulanamıyorsa kullanımdan kaldırması gerekiyor. Kasım 2021'den bu yana CISA, saldırılarda istismar edilen toplam 11 Microsoft SharePoint güvenlik açığını işaretledi ve bunlardan 7'si fidye yazılımı saldırılarında da kullanıldı. Bu veriler, SharePoint sunucularının siber saldırganlar için ne kadar cazip bir hedef olduğunu ve güvenlik yamalarının zamanında uygulanmasının kritik önemini bir kez daha ortaya koyuyor.
Kaynak: bleepingcomputer.com